Mac-adresser fra målrettet malware-angreb lagt til skue: Unfair overfor ejerne af disse systemer

Illustration: alexskopje / bigstock
Et sikkerhedsfirma har trukket en stribe mac-adresser ud af et hjælpeværktøj fra Kaspersky, og det vækker ikke just begejstring hos den russiske virksomhed.

Sikkerhedsvirksomheden Skylight har offentliggjort en liste med mac-adresser, som malwaren fra ShadowHammer-angrebet er gået målrettet efter. Det vækker skuffelse hos Kaspersky Lab, der oprindeligt kortlagde ShadowHammer og indsamlede mac-adresserne.

»Vi synes ikke, det er fair overfor ejerne af disse systemer. Hvis nogen var målet, så mener vi, de har ret til at vide det, men vi mener ikke, det er fair at lade hele verden kende til disse mål,« siger director for Kaspersky Labs Global Research and Analysis Team Vitaly Kamluk i et interview med Version2.

I slutningen af marts fortalte den russiske it-sikkerhedsvirksomhed om et avanceret angreb, der har hærget i 2018, kaldet ShadowHammer.

Angrebet blev opdaget af Kaspersky i januar 2019. Den russiske virksomhed fik opdateret sit anti-virus-software til at fange truslen, og det viste sig, at ca. 57.000 computere var inficerede.

Det er vel at mærke kun de computere, der har kørt med Kasperskys software.

Der formodes at være adskillige andre systemer verden over, der har været ramt i forbindelse med ShadowHammer. Det er stadig uvist, hvem der står bag det avancerede angreb.

ShadowHammer, som Version2 også tidligere har omtalt, er bemærkelsesværdigt på flere måder. Der er tale om et såkaldt supply chain-angreb, hvor malware bliver spredt via en legitim leverandør.

Læs også: Tusindvis af Asus-computere er blevet hacket via falsk softwareopdatering

Ifølge Kaspersky Lab er det lykkedes aktøren bag ShadowHammer at kompromittere systemer hos Asus, så malware er blevet skubbet ud via hardware-producentens officielle distributionskanaler forklædt som officiel software.

Malwaren har desuden været signeret med et officielt Asus-certifikat og har dermed haft lettere ved at gå ubemærket hen.

Selvom malwaren, der fungerer som en bagdør, er blevet sneget ind på en del maskiner, så har det ikke haft alvorlige konsekvenser på langt de fleste inficerede systemer.

En del af angrebet har nemlig været, at malwaren ifølge Kaspersky Lab er gået ganske målrettet efter systemer med bestemte mac-adresser. Altså det i udgangspunktet unikke identifikationsnummer, der knytter sig til et netværksinterface.

Læs også: Tjek om Asus-malware har været på udkig efter netop din Mac-adresse

Når malwaren i ShadowHammer-angrebet på den måde går efter få mål, så hjælper det angriberne med at holde sig under radaren.

»For målrettede angribere er der normalt ingen værdi i at ramme mange brugere ad gangen. Det er fuldstændigt imod deres strategi. Hvis de rammer mange brugere ad gangen betyder det, at der bliver meget indirekte skade (eng. collateral damage), og så vil de blive opdaget meget hurtigt. Og det har de ikke behov for,« siger Vitaly Kamluk.

Kaspersky har identificeret mere end 600 unikke mac-adresser, som forskellige udgaver af malwaren er gået efter. I den forbindelse stillede den russiske it-sikkerhedsvirksomhed et offline- og et online-værktøj til rådighed, så potentielle ofre kunne teste, om malwaren var gået efter netop deres system.

Knækkede værktøj

Begge værktøjer har det tilfælles, at en bruger kan teste for en specifik mac-adresse. Der er altså ikke tale om, at alle 600+ mac-adresser er blevet offentliggjort.

Men det er en del af dem nu endt med at blive alligevel.

For at offline-værktøjet med sikkerhed kan sige, om en given mac-adresse er på listen, så bliver værktøjet i sagens natur nødt til at indeholde information om alle mac-adresser, som malwaren er gået efter.

Og det har et et andet it-sikkerhedsfirma, Skylight, benyttet sig af. Firmaet fortæller i et blogindlæg, hvordan det er lykkedes at skille Kaspersky-koden bag offline-værktøjet ad, hvorefter Amazons cloud-miljø AWS er blevet brugt til at brute-force de hashværdier, som mac-adresserne har ligget lagret som.

Resultatet er ifølge Skylights blogindlæg, at 583 ud af 619 mac-adresser nu er tilgængelige.

Og det er Vitaly Kamluk fra Kaspersky ikke umiddelbart imponeret over. Han fortæller, at der kan være nogle, der kan finde på at misbruge informationen.

»Jeg blev noget overrasket over, at sikkerhedsfolk så åbent besluttede sig for at knække det (værktøjet og informationer om mac-adresserne, red.) og besluttede at offentliggøre det. Jeg vil sige, at der er en vis grad af disrespekt i forhold til ofrene i dette tilfælde. Det er jeg ked af at se,« siger han.

Version2 har forsøgt at få en kommentar fra Skylight, der ikke er vendt tilbage før deadline.

Forskellige systemer

I sidste uge offentliggjorde Kaspersky Lab et indlæg med flere detaljer om ShadowHammer-angrebet. Blandt andet en liste over, hvordan mac-adresserne, som malwaren er gået efter, er fordelt på virksomheder.

Som nogen vil vide, så er en mac-adresse i udgangspunktet knyttet til en producent. Så på samme måde som en række ip-adresser kan tilhøre eksempelvis en internetudbyder, så kan en række mac-adresser tilhøre eksempelvis en hardware-producent.

Mac-adresser, som ShadowHammer har været målrettet imod, fordelt på producenter. Illustration: Kaspersky Lab

Langt størstedelen (276) af de mac-adresser, som Kaspersky har identificeret, og som ShadowHammer har spejdet efter, har været tildelt udstyr fra ASUS. Det formelle mac-adresse-registreringsnavn er ASUSTek COMPUTER INC.

På andenpladsen ligger Intel Corporate med 161 mac-adresser.

Et mysterium

Vitaly Kamluk fortæller, at det er uvist, hvordan listen med mac-adresser, som malwaren skulle gå efter, er blevet udvalgt.

»Vi har ikke denne information, og foreløbig har vi ikke draget nogle konklusioner. Det er stadig et mysterium for os, hvordan de fik fat på disse mac-adresser.«

Et bud kunne ifølge Kamluk være, at adresserne er blevet indsamlet i forbindelse med tidligere malware-kampagner.

Det er ikke kun et mysterium, hvordan adresserne er blevet indsamlet. Ifølge det seneste indlæg om ShadowHammer fra Kaspersky, så er it-sikkerhedsvirksomheden også usikker på, hvem der var mål for angrebet.

I den forbindelse opfordrer Kaspersky Lab brugere, som opdager at deres mac-adresse var mål for angrebet til at sende en mail på shadowhammer@kaspersky.com.

Mac-adresser kan checkes online her.

Det er i øvrigt også uvist, hvad der er sket med de systemer, som rent faktisk har haft en af de mac-adresser, ShadowHammer er gået efter.

Når malwaren stødte på en relevant mac-adresse, blev en server kontaktet med henblik på at hente yderligere kode ned på det inficerede system.

Vitaly Kamluk oplyser i en opfølgende mail, at Kaspersky Lab først blev opmærksom på inficerede Asus-filer i januar 2019. Men serveren, som malwaren kontaktede, havde kun været aktiv frem til november 2018.

Og dermed er det ikke lykkedes sikkerhedsfolkene at få fat i en sample af angrebets næste trin, som måske kunne have givet et praj om, hvad formålet var med operationen.

Reddit-brugere undrede sig

En pudsig detalje ved hele ShadowHammer-operationen er, at mens angrebet gik under it-sikkerhedsselskabernes radar i 2018, så vakte en mærkelig opførsel hos noget Asus-software undren på Reddit i juni 18.

I Kaspersky-indlægget fra sidste uge bliver det nævnt, hvordan brugeren GreyWolfx lagde et screenshot op af en mistænkelig ASUS Live Update-besked.

Ifølge beskeden er der tale om en kritisk opdatering, men beskeden nævner i den forbindelse ikke et navn eller et versionsnummer for opdateringen.

Kaspersky Lab bemærker, at Reddit-beskederne kan indikere, at malwaren blev leveret til brugere helt tilbage i juni 2018.

I september 2018 postede en anden Reddit-bruger, FabulaBerserko, også en besked vedrørende en mistænkelig Asus-opdatering, fremgår det af indlægget hos Kaspersky om ShadowHammer.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (0)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere